Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 3322 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG120 (UTM 120) to SG-125: Gotchas?

Trane Francks
Hey, all.

I do SOHO admin work and just found out from a client that they've ordered an SG-125 for the office. Their idea is to take the existing UTM 120 and move it to a new office for BO VPN. So far, so good.

My hope is that this should go smoothly. [8-)]

Will it be possible to backup the configuration from the ASG120 and upload it into the SG-125 so that head office can just pick up where it left off with only a few minutes of downtime? It's running 9.306-6, so we're as up-to-date as possible. I'm hopeful that configurations from this recent generation of UTM will be interchangeable with the new SG series.

Does anybody have any experience yet with such a replacement? Are there any gotchas? I already have couple of other ASG120s doing BO VPN for this client, so uploading an external-office config into the HQ unit to install into the new office is a no-brainer. I'm just worried about saving work and downtime in getting the new unit up and running. The less fuss and tendency toward error, the better.


This thread was automatically locked due to age.
  • 0
    Hi Trane,

    The backup files are hardware independent so as long as the SG125 has as many (or more) ethernet ports as the UTM120 (I does afaik) the backup will transfer across just fine.

    Just be aware however that system logs and email queues will not move across with the backup so logs will have to be exported and the queues emptied before the cut.

    Also, hardware addresses of the ethernet interfaces are different so if there's any mac based filtering going on, that needs to be checked beforehand. Good example is a local ISP up here. SOHO DSL services use mac based device registration so swapping UTM's requires a quick check with the ISP to ensure we have a free slot for the new device.
  • 0
    Another trick is to go to the 'Hardware' tab in 'Interfaces' and copy the existing MACs into the Virtual MAC for each NIC.  Then, when you restore to the new SG, the world doesn't have to deal with new MACs. [;)]

    Cheers - Bob
  • 0
    Thanks for the assistance, TheDrew and BAlfson. We're not using any MAC filtering and the WAN connection is a device-agnostic, fixed IP. So MAC addresses shouldn't be a problem here. The only mail that goes out are weekly configuration backups and notifications of successful admin logins. At any given time, therefore, the queue should be empty.

    This sounds as though it'll be as easy as I'd hoped. Thanks again!
  • 0
    "MAC addresses shouldn't be a problem" - Without the trick, you need to be ready to reboot any switches connected to the UTM so that they can reset the ARP table entry for the IP assigned to the UTM interface.  Be ready to have your ISP bounce the last-hop router in front of you to do the same.  I've done it both ways - both work.

    Cheers - Bob
  • 0
    Thanks again. In the past, I've put in a temp router in place of a failed firewall on that client WAN connection without having any issue from the ISP. That isn't likely to create an issue. 

    Good reminder about the switches, though; I wouldn't have thought of that. [:)] During the switchover of the hardware, I'll take the opportunity to simultaneously reboot all the D-Link switches in the office. That should keep everything happy.

    Cheers!
  • 0
    Guys: I just want to say thank you again for the assistance here. The config migration to the new 125 went flawlessly. About the only oddity I've noticed is that it is steadfastly staying on UTM 9.2x whereas the older units have all updated to 9.3x already. It did update itself, but only to a later 9.2x version of the OS.

    Odd, but Sophos is like that, I guess. [:)]
  • 0
    It may take a little while after you are on 9.211 for the 9.3x update to show up.  If you don't want to wait, you can manually apply ftp://ftp.astaro.de/UTM/v9/up2date/u2d-sys-9.211003-304009.tgz.gpg .
  • 0
    Thanks. Yeah, it's on 9.211-3, which seems to not pose any significant security issues. As such, I'll just leave it till it decides to download 9.3x of its own accord. The BO VPNs are working perfectly, so I'm happy to not push my luck. [;)]